亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于第二級域名的FQDN個(gè)數(shù)的DNS隱蔽信道檢測

        2016-02-19 22:07:56楊建強(qiáng)姜洪溪
        計(jì)算機(jī)時(shí)代 2016年2期
        關(guān)鍵詞:檢測

        楊建強(qiáng)+姜洪溪

        DOI:10.16644/j.cnki.cn33-1094/tp.2016.02.016

        摘 ?要: 基于DNS協(xié)議的隱蔽信道給企業(yè)和個(gè)人帶來很大的安全威脅,對它的檢測非常重要。提出一種新的檢測方法——利用第二級域名的FQDN個(gè)數(shù)來檢測DNS隱蔽信道。測試結(jié)果表明,在采樣時(shí)間窗口較小的情況下,該方法很容易識別出某些DNS隱蔽信道。討論了該方法的不足,并給出了解決辦法。

        關(guān)鍵詞: DNS; 隱蔽信道; 檢測; FQDN

        中圖分類號:TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)志碼:A ? ? 文章編號:1006-8228(2016)02-53-03

        Using FQDN number of the second-level domain name to

        detect DNS-based covert channels

        Yang Jianqiang, Jiang Hongxi

        (School of Mathematics and Computer Science, Hubei University of Arts and Science, Xiangyang, Hubei 441053, China)

        Abstract: It is very important to detect the DNS-based covert channel which brings about a significant risk to businesses and individuals. In this paper, a new detection method is presented, which uses FQDN (Fully Qualified Domain Name) number of the second-level domain to detect DNS-based covert channel. The test results showed that this method can easily identify some DNS-based convert channels, if the sampling time window is shorter. Shortcomings of the method are discussed and solutions are given.

        Key words: DNS; covert channel; detection; FQDN

        0 引言

        隱蔽信道是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道[1]。隱蔽信道的概念最早是在研究安全操作系統(tǒng)時(shí)提出的,后來擴(kuò)展到數(shù)據(jù)庫和網(wǎng)絡(luò)環(huán)境中?;贒NS協(xié)議的隱蔽信道(以下簡稱DNS信道)最早由Oskar Pearson于1998年4月提出。2004年Dan Kaminsky在Defcon黑客大會上公開了自編的DNS信道工具,該工具可以將音頻、視頻和遠(yuǎn)程登錄等數(shù)據(jù)通過DNS協(xié)議封裝后發(fā)布到Internet上[2]。從此DNS信道技術(shù)得到越來越多的關(guān)注。

        目前已經(jīng)有十多種DNS信道工具,比如dns2tcp、DNScapy、DNScat、DNScat-B、iodine、Heyoka等[3]。這些工具所用到的技術(shù)都非常相似,主要包括四方面:受控的域名,控制端程序,被控端程序,以及數(shù)據(jù)編碼方法。受控的域名通常是第二級域名(第二級域名指只有兩層或兩個(gè)域名標(biāo)簽的域名)。DNS信道的基本架構(gòu)如圖1所示。被控端程序通常運(yùn)行在內(nèi)部主機(jī)上,負(fù)責(zé)將通信數(shù)據(jù)封裝為對特定域名的請求解析報(bào)文。控制端程序?qū)?yīng)答數(shù)據(jù)封裝為特定的DNS應(yīng)答報(bào)文。

        DNS信道工具的最初目的是利用DNS信道免費(fèi)使用Wi-Fi訪問因特網(wǎng)。但是,這些工具也可用于更加惡意的活動(dòng)。比如創(chuàng)建遠(yuǎn)程控制通道,控制被入侵的主機(jī),或者被惡意軟件利用。在近幾年發(fā)生的一些賬戶數(shù)據(jù)被盜事件中,有些攻擊者就使用了這種方法。另外,測試結(jié)果顯示DNS信道能夠達(dá)到110 KB/s的帶寬及150 ms的延遲[4]。因此,無論是對企業(yè)還是對個(gè)人,DNS信道都具有非常大的安全威脅,對它的檢測和防范非常重要。

        1 利用第二級域名的FQDN個(gè)數(shù)來檢測DNS信道

        檢測DNS信道的技術(shù)或方法有數(shù)十種之多,總體上可將它們分為兩類:DNS載荷分析和DNS流量分析。在文獻(xiàn)[5]中我們對它們進(jìn)行了總結(jié)。這里給出一種DNS信道檢測方法,它利用第二級域名的FQDN(指包含主機(jī)名在內(nèi)的整個(gè)域名)個(gè)數(shù)來檢測DNS信道(以下簡稱FQDN個(gè)數(shù)法)。

        許多DNS信道工具通常會在一個(gè)DNS報(bào)文中傳輸盡可能多的數(shù)據(jù),這意味著DNS信道所使用的域名會比較長。不過,隨著對DNS信道檢測技術(shù)的深入了解,狡猾的攻擊者會嘗試縮短域名的長度來避免DNS信道被檢測出來??s短域名的長度往往會導(dǎo)致DNS報(bào)文數(shù)量的增加,特別是在傳輸大量數(shù)據(jù)的時(shí)候。這些報(bào)文中的域名(指包含主機(jī)名在內(nèi)的完整域名,即FQDN)彼此不同并且通常來自同一個(gè)特定的第二級域名。因此,通過在DNS報(bào)文中尋找FQDN個(gè)數(shù)較多的第二級域名,就可以發(fā)現(xiàn)域名較短的DNS信道。事實(shí)上,如果要傳輸?shù)臄?shù)據(jù)比較多,即使DNS信道的域名比較長,F(xiàn)QDN個(gè)數(shù)法仍然有效。原因很簡單,因?yàn)檩^多的數(shù)據(jù)需要較多DNS報(bào)文來傳輸。

        1.1 實(shí)現(xiàn)方法說明

        利用端口鏡像捕獲網(wǎng)絡(luò)流量,使用相應(yīng)的工具對流量中的多種協(xié)議包括DNS進(jìn)行解析,然后利用解析后的元數(shù)據(jù)進(jìn)行流量分析。流量分析規(guī)則包括四個(gè)步驟:首先,查詢特定時(shí)間窗口的DNS數(shù)據(jù)并保存為xml文件;其次,對xml文件進(jìn)行清理(比如替換xml中某些與mysql沖突的保留字),為導(dǎo)入數(shù)據(jù)做準(zhǔn)備;然后把xml數(shù)據(jù)導(dǎo)入到mysql中;最后,使用Python分析導(dǎo)入的數(shù)據(jù),計(jì)算每個(gè)第二級域名的FQDN個(gè)數(shù),找出FQDN個(gè)數(shù)最多的第二級域名。上述過程利用Python和nwmodule庫實(shí)現(xiàn)。

        1.2 測試

        我們對一個(gè)有近1千個(gè)用戶的網(wǎng)絡(luò)環(huán)境進(jìn)行流量捕獲,持續(xù)2個(gè)小時(shí)。在此期間,發(fā)生了超過80,000個(gè)外部DNS查詢。另外,在此期間,使用DNScat-B創(chuàng)建一個(gè)DNS信道,來傳輸一個(gè)125K的文本文件。傳輸共花費(fèi)大約2分鐘時(shí)間,之后該信道進(jìn)入輪詢模式,并保留了幾分鐘。

        以10分鐘作為取樣時(shí)間窗口,對解析后的元數(shù)據(jù)進(jìn)行分析和統(tǒng)計(jì)。圖2給出了在DNS信道流量(即傳輸文件)出現(xiàn)期間的10分鐘取樣窗口內(nèi)的FQDN分布情況。圖2中使用單個(gè)字母替代正常的第二級域名,用“CH”替代用于DNS信道的第二級域名。圖2顯示“CH”的FQDN個(gè)數(shù)遠(yuǎn)遠(yuǎn)超過其他字母。這表明通過統(tǒng)計(jì)每個(gè)第二級域名的FQDN個(gè)數(shù),的確能夠檢測出某些DNS信道。另外,圖2還顯示其他字母的FQDN的個(gè)數(shù)都少于300個(gè),所以,對于10分鐘取樣窗口,可以把300作為檢測DNS信道域的閾值。

        以1小時(shí)作為取樣時(shí)間窗口,圖3給出了DNS信道流量出現(xiàn)期間的1小時(shí)取樣窗口內(nèi)的FQDN分布情況??梢园l(fā)現(xiàn),DNS信道“CH”的FQDN個(gè)數(shù)僅次于“A”的個(gè)數(shù)。這里的“A”是云安全中的文件信譽(yù)服務(wù)使用的域,該服務(wù)對每一個(gè)請求的文件都產(chǎn)生一個(gè)FQDN,所以FQDN個(gè)數(shù)比較多。

        以上測試表明,在取樣窗口較小的情況下,利用每個(gè)第二級域名的FQDN個(gè)數(shù)很容易識別某些DNS信道。實(shí)際上,較小的取樣窗口對持續(xù)時(shí)間短的DNS信道也更加敏感,而較大取樣窗口也會導(dǎo)致更長的處理時(shí)間。

        1.3 不足及完善

        并不是只有DNS信道的域名會使用大量的FQDN,用于廣告、內(nèi)容交付和云服務(wù)的域名常常也會使用大量FQDN。因此,在某些情況下,F(xiàn)QDN個(gè)數(shù)法存在著誤判的可能,特別是在DNS信道存在時(shí)間極短而取樣窗口又比較大的情況下。不過,如果把FQDN個(gè)數(shù)較多的(比如超過200個(gè))知名的域名放到一個(gè)白名單中,就可以利用白名單排除一部分FQDN個(gè)數(shù)較多的合法域名,從而使得即使使用更大的取樣窗口,持續(xù)時(shí)間很短的DNS信道也很容易識別出來。

        如果DNS信道利用較少的DNS報(bào)文就能完成數(shù)據(jù)的傳輸,那么FQDN個(gè)數(shù)法將無效。此時(shí),需要輔以其他檢測方法。比如尋找有效載荷較長的DNS報(bào)文。與FQDN個(gè)數(shù)法一樣,尋找有效載荷較長的DNS報(bào)文也是一種通用的檢測方法。比較有效的做法是尋找域名中主機(jī)名較長的DNS報(bào)文——比如主機(jī)名超過52個(gè)字符的DNS報(bào)文[6]。原因是許多DNS信道會利用域名最左邊的主機(jī)名來傳輸數(shù)據(jù)。另外,有些DNS信道會利用多個(gè)域名標(biāo)簽來傳輸數(shù)據(jù)。所以,尋找域名中出現(xiàn)連續(xù)多個(gè)長域名標(biāo)簽的DNS報(bào)文也是一種有效的做法。比如把域名中出現(xiàn)三個(gè)連續(xù)的、長度介于26到63個(gè)字符的域名標(biāo)簽作為一條檢測規(guī)則。

        另外,如果DNS信道使用的受控域名不是第二級域名,比如使用第三級域名作為受控域名,F(xiàn)QDN個(gè)數(shù)法也將無效。不過,受控域名的層數(shù)越多,完整的域名即FQDN能夠容納的通信數(shù)據(jù)也越少。所以,使用多于二層的受控域名的DNS信道比較少見。即使存在這樣的DNS信道,把FQDN個(gè)數(shù)法中的第二級域名改成第三級域名,它也可以實(shí)現(xiàn)對此類DNS信道的檢測。

        2 結(jié)束語

        DNS協(xié)議主要用于把域名解析成IP地址。因?yàn)镈NS并不用于一般的數(shù)據(jù)傳輸,所以人們往往并不重視對DNS流量的監(jiān)視。DNS信道是對DNS的濫用,其主要威脅包括兩個(gè)方面,一是對受害的主機(jī)進(jìn)行控制,二是數(shù)據(jù)泄露。不能通過簡單地禁止DNS報(bào)文的方式來消除DNS信道帶來的危害,正確的做法是采用有效的DNS信道檢測技術(shù)將其檢測出來,繼而攔截非法的DNS報(bào)文。本文提出了一種新的DNS信道檢測方法——利用第二級域名的FQDN個(gè)數(shù)來檢測DNS信道。該方法與DNS資源記錄類型、編碼方法等無關(guān),是一種通用的檢測方法。本文成功測試了這種方法。測試結(jié)果表明,在時(shí)間窗口較小的情況下,比如10分鐘,該方法很容易識別出某些DNS信道。盡管在某些情況下該方法無法準(zhǔn)確識別出DNS信道,但是可以借助白名單及其他檢測方法來增強(qiáng)識別能力。需要注意的是,如果狡猾的攻擊者有意的降低DNS報(bào)文的發(fā)送速度,那么就可以避免被FQDN個(gè)數(shù)法識別出來。對于這種情況,可以進(jìn)一步結(jié)合其他DNS信道檢測方法,比如特征匹配法來提高識別率。

        參考文獻(xiàn)(References):

        [1] 王永吉,吳敬征,曾海濤等.隱蔽信道研究[J].軟件學(xué)報(bào),

        2010.21(9):2262-2288

        [2] Kaminsky D. Black Ops of DNS[EB/OL].2004 [2013-

        11-12].http://www.defcon.org/html/links/dc-archieves/dc-12-archive.html#kaminsky

        [3] Merlo A, Papaleo G, Veneziano S, et al. A Comparative

        Performance Evaluation of DNS Tunneling Tools[C]. The 4th International Conference(CISIS 2011).Springer Berlin Heidelberg,2011:84-91

        [4] Van Leijenhorst, T. On the Viability and Performance of

        DNS Tunneling[C]. The 5th International Conference on Information Technology and Applications (ICITA'08). Cairns, Australia,2008:560-566

        [5] 楊建強(qiáng),方磊.DNS隱蔽信道檢測研究[J].現(xiàn)代計(jì)算機(jī),

        2013.10:49-52

        [6] Butler P, Xu K. Quantitatively analyzing stealthy

        communication channels[C]. Proceedings of the 9th international conference on Applied cryptography and network security(ACNS'11). Springer Berlin Heidelberg,2011:238-254

        猜你喜歡
        檢測
        QC 檢測
        “不等式”檢測題
        “一元一次不等式”檢測題
        “一元一次不等式組”檢測題
        “幾何圖形”檢測題
        “角”檢測題
        “有理數(shù)的乘除法”檢測題
        “有理數(shù)”檢測題
        “角”檢測題
        “幾何圖形”檢測題
        日本免费一区二区三区影院| 国产熟女露脸91麻豆| 国产在线天堂av| 少妇人妻偷人精品一区二区| 韩国三级大全久久网站| 日韩精品一区二区免费| 国产大陆av一区二区三区| 久久久久99精品成人片试看| 中文字幕日韩人妻不卡一区| 亚洲国产av一区二区三区精品| 亚洲一区二区丝袜美腿| 一区二区在线亚洲av蜜桃| 成人免费视频在线观看| 人妻少妇精品中文字幕av| 亚洲男人天堂黄色av| 亚洲av天堂在线免费观看| 久久久久久人妻一区二区无码Av| h国产视频| 青青草97国产精品免费观看| 久久亚洲av午夜福利精品一区| 亚洲男人综合久久综合天堂| 97久久久一区二区少妇| 国产美女精品AⅤ在线老女人| 欧美色欧美亚洲另类二区不卡| 午夜亚洲www湿好爽| 国产午夜成人av在线播放| 多毛小伙内射老太婆| 精品一区二区三区人妻久久福利 | 男女一边摸一边做爽爽的免费阅读 | 欧美精品欧美人与动人物牲交| 日本一区二区三区四区啪啪啪| 在线亚洲国产一区二区三区| 无码国产一区二区色欲| 久久久久久中文字幕有精品| 日韩精品无码一区二区三区免费| 欧美极品少妇无套实战| 国产精品泄火熟女| 日本在线 | 中文| 白白色白白色视频发布| 午夜国产精品视频在线观看| av在线播放一区二区免费|